直接的原因是向MiDeleteValidAddress传递了一个无效的地址——00400221。如这个函数的函数名所说的，这个函数是用来删除一个有效的地址，也就是位于物理内存中的地址。每个有效地址在PFN数据库中有一个MMPFN结构与之对应。删除这个地址时需要找到这个结构然后对其进行更新。 但因为00400221是个无效的地址，所以用它计算出的PFN索引来寻找MMPFN结构的字段时非法访问了。 仔细观察出问题的那一刻： eax=00000002 ebx=03ffffff ecx=00000020 edx=02800000 esi=c7000000 edi=c0002000 eip=8051174d esp=a5f73bf8 ebp=a5f73c14 iopl=0 nv up ei ...

DUMP文件发到我的信箱里或者放到一个FTP，我看一下

看起来像是PFN数据库被破坏掉了。 dd nt!MmPfnDatabase 把上面命令的结果贴上来看看。 另外执行下version，想知道是哪个版本的NT

大家都知道，MJ是国内技术圈里响当当的人物，MJ建议在北京，而且北京是首都，全国各地的朋友到首都总归是比较方便的，因此我赞同，大家应该也没有意见吧？

上调试器，一切就都清楚了。:-) 从学习的角度看，了解一下各种hook挺好的，但是从软件安全和开发实践的角度来看，hook已经是不鼓励使用的方法了。

关掉再来一遍就有了，呵呵呵，开个玩笑，今天是周末:-) 其实关掉再来也确实是一种办法，重新建立连接的过程是很可靠的。 除了关掉WinDBG重来，WinDBG提供了一条命令.restart，执行这条命令后，重新建立连接，想看的信息就完整的重现了。 kd> .restartOpened \\.\pipe\com1Waiting to reconnect...Connected to Windows XP 2600 x86 compatible target at (Sat Jan 30 11:22:39.078 2010 (GMT+8)), ptr64 FALSEKernel Debugger connection established.WARNING: Path element ...

ba i1 CFC

如果想生成标准格式的dump文件，那么可以用.dump命令。 .dump /mfh c:\dumps\mydump.dmp 如果想把某一段内存写到文件，那么可以使用下面这样的命令： .writemem c:\dumps\blog.txt 07288600  L2000    

是启动好那一点的时间，是吧？ 不知道《软件调试》P413介绍的方法能否满足你的要求。读取6005号事件(有API)，这个事件是EventLog服务启动后写入的，因此基本上代表了系统启动好的那个时间点...  

多谢楼上几位支持:-) 王宇在内核和安全方面很有经验，应该要和大家分享一下:-) 为了听到更多人的发言，我想这样，晚上的时间可以划分成多个小段，比如30分钟一段，让想分享的朋友给大家讲一讲，比如讲20分钟，然后QA 10分钟。 白天的时间还是集中按主题规划，怎么样？